近日,国家信息安全漏洞库(CNNVD)收到关于Drupal安全漏洞(CNNVD-202011-1698、CVE-2020-13671)情况的报送。成功利用漏洞的远程攻击者可能获取目标系统或网站的管理权限,执行恶意代码。Drupal Core 7、8.8、8.9、9.0各分支版本均受此漏洞影响。目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。
一、漏洞介绍
Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。
Drupal Core 存在安全漏洞,由于Drupal Core 未正确处理上传文件中的某些文件名,可能导致文件会被错误地解析为其他MIME类型,未授权的远程攻击者可通过上传特定文件名的恶意文件利用漏洞执行代码。
二、危害影响
成功利用该漏洞的远程攻击者,可获取目标系统或网站的管理权限,执行恶意代码。以下等版本均受此漏洞影响:
Drupal < 7.7.4
Drupal < 8.8.11
Drupal < 8.9.9
Drupal < 9.0.8
注:官方已经停止维护8.8.x之前的Drupal 8版本。
三、修复建议
目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:
Drupal 9.0系列用户,建议更新至 Drupal 9.0.8 版本,链接为https://www.drupal.org/project/drupal/releases/9.0.8。
Drupal 8.9系列用户,建议更新至 Drupal 8.9.9 版本,链接为https://www.drupal.org/project/drupal/releases/8.9.9。
Drupal 8.8系列用户,建议更新至 Drupal 8.8.11 版本,链接为https://www.drupal.org/project/drupal/releases/8.8.11。
Drupal 7系列用户,建议更新至 Drupal 7.74,链接为https://www.drupal.org/project/drupal/releases/7.74。
本通报由CNNVD技术支撑单位——杭州安恒信息技术股份有限公司、北京中测安华科技有限公司、北京华云安信息技术有限公司、北京神州绿盟科技有限公司、北京山石网科信息技术有限公司、北京奇虎科技有限公司、北京华顺信安科技有限公司、内蒙古奥创科技有限公司等技术支撑单位提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn